Добавление в проект spring security

@new_wave · Регистрация: 20.01.2017

Author24 — интернет-сервис помощи студентам

Как настроить конфиг для спринг сикьюрити и связать с энтити ?(так понял связка идет через все слои:конфиг контроллер сервис репозиторий энтити). AdministrationEntity,AdministrationRepository, AdministrationServiceImpl, AdministrationContrloller
Взял за основу шаблон конфига с форума, пытаюсь переделать под себя, за что отвечают методы в конфиге protected void configure(HttpSecurity http), public SessionRegistry sessionRegistry() {return new SessionRegistryImpl();}

Java

@Configuration
@EnableWebSecurity
@ComponentScan("com.cat.server")
@PropertySource(value = {"classpath:auth.properties"})
public class SecurityConfig extends WebSecurityConfigurerAdapter{
 
    @Autowired
   AdministrationServiceImpl administrationServiceImpl;
 
    @Autowired
    public void configAuthentication(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(administrationServiceImpl).passwordEncoder(passwordEncoder());
    }
 
    @Bean(name = "passwordEncoder")
    public PasswordEncoder passwordEncoder() {return new BCryptPasswordEncoder();}
 
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/map/rest/hello*").access("hasRole('ADMIN')")
                .antMatchers("/confidential*").access("hasRole('USER')")
                .antMatchers("/superconfidential*").access("hasRole('SUPERADMIN')")
                .and().formLogin().loginPage("/login").permitAll().
                defaultSuccessUrl("/", false)
                .and().csrf().disable().
                sessionManagement().maximumSessions(100).sessionRegistry(sessionRegistry()).and()
                .and().logout().
                logoutUrl("/logout").logoutSuccessUrl("/").
                invalidateHttpSession(true).deleteCookies();
    }
 
    @Bean
    public SessionRegistry sessionRegistry() {return new SessionRegistryImpl();}
}

@Borsche · 19.02.2017, 00:43

Ну я не специалист но могу кое что подсказать.
В "protected void configure(HttpSecurity http)" в методе ты создаешь чепочку в которой указываешь к примеру http.authorizeRequests() что все забросы должны проходить только если пользователь авторизирован, .antMatchers("/map/rest/hello*").access("hasRole('ADMIN')") В .antMatchers указавыешь URL один или несколько для которых должны применяться права для проверки ролей пользователь как вот выше админ, это значит что только пользователь у которого установленая в энити роль админ можеть зайти по этому УРЛ, и так далее в чепочке.
Потом .and().formLogin().loginPage("/login").permitAll(). указываеться что форма логина будет поэтому УРЛ а пермитАлл что любой пользователь может зайти сюда даже не авторизированный.
.and().csrf().disable(). отключенее какйто там защиты чтобы голова не болела)
logoutUrl("/logout").logoutSuccessUrl("/"). УРЛ для логаута.
Про сесиии голову не забивай мона и без них.
Самый главный ну или один из основных это метод public void configAuthentication(AuthenticationManagerBuilder auth)
здесь ты указываешь auth.userDetailsService(administrationServiceImpl) сервис который по введёному логину в форме должен найти БД запись, вытащить её и сравнить пароли с формы и та что в БД passwordEncoder(passwordEncoder()); ну и собственно сам кодер паролей.

Могу свой пример скинуть аутентификации, но дело в том что он на Spring Boot написан.

@new_wave · 19.02.2017, 12:57 **[ТС]**

Сообщение от Borsche

скинуть аутентификации, но дело в том что он на Spring Boot написан

а по каким критериям на boot сделал ?

Добавлено через 9 минут
Borsche, Создал тему, вопрос по твоему ответу пользователь у которого установленая в энити роль админ

Добавлено через 20 минут
Borsche,

Сообщение от Borsche

Самый главный ну или один из основных это метод public void configAuthentication(AuthenticationManagerBuilder auth)
здесь ты указываешь auth.userDetailsService(administrationServiceImpl) сервис который по введёному логину в форме должен найти БД запись, вытащить её и сравнить пароли с формы и та что в БД passwordEncoder(passwordEncoder()); ну и собственно сам кодер паролей.

Еще тему создал, по этому моменту Создание метода public void configAuthentication(AuthenticationManagerBuilder auth)

Добавлено через 2 часа 16 минут
Borsche, вопрос про контроллер Конфиг секьюрити и контроллер

Новые блоги и статьи
Как работать с GraphQL на TypeScript InfoMaster 08.01.2025 Введение в GraphQL и TypeScript В современной разработке веб-приложений GraphQL стал мощным инструментом для создания гибких и эффективных API. В сочетании с TypeScript, эта технология. . .	Счётчик на базе сумматоров + регистров и генератора сигналов согласования. Hrethgir 07.01.2025 Создан с целью проверки скорости асинхронной логики: ранее описанного сумматора и предополагаемых fast регистров. Регистры созданы на базе ранее описанного, предполагаемого fast триггера. То-есть. . .	Как перейти с Options API на Composition API в Vue.js BasicMan 06.01.2025 Почему переход на Composition API актуален В мире современной веб-разработки фреймворк Vue. js продолжает эволюционировать, предлагая разработчикам все более совершенные инструменты для создания. . .	Архитектура современных процессоров inter-admin 06.01.2025 Процессор (центральный процессор, ЦП) является основным вычислительным устройством компьютера, которое выполняет обработку данных и управляет работой всех остальных компонентов системы. Архитектура. . .	История создания реляционной модели баз данных, правила Кодда Programming 06.01.2025 Предпосылки создания реляционной модели В конце 1960-х годов компьютерная индустрия столкнулась с серьезными проблемами в области управления данными. Существовавшие на тот момент модели данных -. . .	Полезные поделки на Arduino, которые можно сделать самому raxper 06.01.2025 Arduino как платформа для творчества Arduino представляет собой удивительную платформу для технического творчества, которая открывает безграничные возможности для создания уникальных проектов. Эта. . .
Подборка решений задач на Python IT_Exp 06.01.2025 Целью данной подборки является предоставление возможности ознакомиться с различными задачами и их решениями на Python, что может быть полезно как для начинающих, так и для опытных программистов. . . .	С чего начать программировать микроконтроллеры raxper 06.01.2025 Введение в мир микроконтроллеров Микроконтроллеры стали неотъемлемой частью современного мира, окружая нас повсюду: от простых бытовых приборов до сложных промышленных систем. Эти маленькие. . .	Из чего собрать игровой компьютер inter-admin 06.01.2025 Сборка игрового компьютера требует особого внимания к выбору комплектующих и их совместимости. Правильно собранный игровой ПК не только обеспечивает комфортный геймплей в современных играх, но и. . .	Обновление сайта www.historian.by Reglage 05.01.2025 Обещал подвести итоги 2024 года для сайта. Однако начну с того, что изменилось за неделю. Добавил краткий урок по последовательности действий при анализе вредоносных файлов и значительно улучшил урок. . .	Как использовать GraphQL в C# с HotChocolate Programming 05.01.2025 GraphQL — это современный подход к разработке API, который позволяет клиентам запрашивать только те данные, которые им необходимы. Это делает взаимодействие с API более гибким и эффективным по. . .	Модель полного двоичного сумматора с помощью логических операций (python) AlexSky-coder 04.01.2025 def binSum(x:list, y:list): s=^y] p=x and y for i in range(1,len(x)): s. append((x^y)^p) p=(x and y)or(p and (x or y)) return s x=list() y=list()

@Borsche 183 / 110 / 44 Регистрация: 03.07.2016 Сообщений: 496
	19.02.2017, 00:43	2
	Ну я не специалист но могу кое что подсказать. В "protected void configure(HttpSecurity http)" в методе ты создаешь чепочку в которой указываешь к примеру http.authorizeRequests() что все забросы должны проходить только если пользователь авторизирован, .antMatchers("/map/rest/hello*").access("hasRole('ADMIN')") В .antMatchers указавыешь URL один или несколько для которых должны применяться права для проверки ролей пользователь как вот выше админ, это значит что только пользователь у которого установленая в энити роль админ можеть зайти по этому УРЛ, и так далее в чепочке. Потом .and().formLogin().loginPage("/login").permitAll(). указываеться что форма логина будет поэтому УРЛ а пермитАлл что любой пользователь может зайти сюда даже не авторизированный. .and().csrf().disable(). отключенее какйто там защиты чтобы голова не болела) logoutUrl("/logout").logoutSuccessUrl("/"). УРЛ для логаута. Про сесиии голову не забивай мона и без них. Самый главный ну или один из основных это метод public void configAuthentication(AuthenticationManagerBuilder auth) здесь ты указываешь auth.userDetailsService(administrationServiceImpl) сервис который по введёному логину в форме должен найти БД запись, вытащить её и сравнить пароли с формы и та что в БД passwordEncoder(passwordEncoder()); ну и собственно сам кодер паролей. Могу свой пример скинуть аутентификации, но дело в том что он на Spring Boot написан. 1

@new_wave 2 / 2 / 2 Регистрация: 20.01.2017 Сообщений: 41
	19.02.2017, 12:57 [ТС]	3
	Сообщение от Borsche скинуть аутентификации, но дело в том что он на Spring Boot написан а по каким критериям на boot сделал ? Добавлено через 9 минут Borsche, Создал тему, вопрос по твоему ответу пользователь у которого установленая в энити роль админ Добавлено через 20 минут Borsche, Сообщение от Borsche Самый главный ну или один из основных это метод public void configAuthentication(AuthenticationManagerBuilder auth) здесь ты указываешь auth.userDetailsService(administrationServiceImpl) сервис который по введёному логину в форме должен найти БД запись, вытащить её и сравнить пароли с формы и та что в БД passwordEncoder(passwordEncoder()); ну и собственно сам кодер паролей. Еще тему создал, по этому моменту Создание метода public void configAuthentication(AuthenticationManagerBuilder auth) Добавлено через 2 часа 16 минут Borsche, вопрос про контроллер Конфиг секьюрити и контроллер 0